четверг, 12 июня 2014 г.

Открытое письмо сообществу специалистов по ИБ

Уважаемое сообщество,
Я считаю, наш долг, как специалистов по информационной безопасности, напомнить вендорам, интеграторам и прочим игрокам рынка о том, для чего мы работаем, о том, что наша основная цель – это обеспечение безопасности бизнеса!  Мы отдаем себе отчет в том, что достижение этой цели требует разумного баланса и понимания того, что любая предпринимательская деятельность преследует получение прибыли, в конце концов это цель и наших компаний. Но, если сместить фокус на решение реальных проблем клиентов, то это не приведет к снижению выручки, это даст возможность отказаться от набившего оскомину подхода secure-by-marketing и играть честно.

Мы, сообщество специалистов-практиков, работающих в области ИБ, не должны допустить доминирования подхода secure-by-marketing на рынке. Но если secure-by-marketing будет использоваться, как средство обеспечения продаж, наш долг, а во многих случаях и прямая обязанность, действуя в интересах компании работодателя, попытаться донести нашу позицию до компании-поставщика. Мы не поддерживаем и никогда не будем поддерживать подобный поход к предоставлению услуг.  

Если следовать нашему подходу, то не придется тратить так много усилий на маркетинг, клиенты придут сами.

Secure-by-marketing - рассчитан на широкую публику, на неспециалистов, таким образом, его использование демонстрирует вопиющее неуважение к клиентам!

PS Выше приведен вольный перевод открытого письма, найденного на просторах Linkedin. 


среда, 11 июня 2014 г.

ИБ, русская душа и балалайка



Мысль не моя. Ну или не совсем моя. Алексей Лукацкий бросил камень и пошел дальше нести доброе и вечное ИБ людям, а в моем мозгу плотно засела идея – дописать.
Итак… Особенности национального ИБ в разрезе моего личного опыта, а так же мнений коллег и знакомых.

КОМПЛЕКСНЫЙ ПОДХОД

Чертовски редкая вещь! Как правило, все решает набор технологий, успешно проданных вендором, интегратором или просто хорошим человеком. DLP, МСЭ, антивирусы и т.д. и т.п. создают иллюзию полной защиты активов компании от всего на свете и позволяют руководителю ИТ спать спокойно, а собственнику верить в то, что уж если ИТшники спят спокойно, то с ИБ у компании и правда все отлично. Встречаются кое-где даже документы с DRP, BCM, KPI, ROI и с прочими сочетаниями латинских букв, эти документы очень любят показывать аудиторам и на корпоративных конференциях. Как правило, собственник бизнеса, окинув взглядом такую поляну, понимает, что проще поддаться первобытному страху и дать денег, чем разбираться в том, что вообще происходит с этим ИБ. И уж тем более, не приведи Господь, запачкаться в этом всем.
Почему так? Так проще продавать! Так проще внедрять! Так проще всем!
Путь наименьшего сопротивления и вера в технологии! Ну и откаты, куда без них.
Было бы нечестным сказать, что это не работает. Это работает и местами неплохо. Вопрос в том, работает ли это эффективно и насколько подобная ИБ отвечает целям бизнеса. Но ведь если вопрос не задан, то возможно и не стоит искать на него ответ?
Вообще, отсутствие комплексного подхода в российском ИБ – это не проблема российского ИБ. Это проблема той среды, в которой отечественная ИБ растет и развивается. Качество и количество различных НПА и регуляторов только усугубляет положение.
Получилось мрачновато, но на самом деле всё не так и плохо. ИБ развивается вместе со страной. Увидим комплексный подход в бизнесу, экономике, регулированию, мегапроектам – увидим и комплексную ИБ. Кстати, обратная связь тоже есть, но ИБ находиться на коротком конце рычага, так что усилии по трансформации среды потребуется значительно больше.

ТРУДНОСТИ ПЕРЕВОДА

Опять же исторически так сложилось, что под ИБ у нас в стране понимают ИТ-безопасность и выполнение требований регуляторов. Проблема, казалось бы пустяковая, но уже много лет она жива и тормозит развитие отрасли. Да, да… Руководители и собственники бизнеса, не говоря уж о чиновниках понимают под ИБ то, что видят, а видят они ИТ.
Это как устоявшийся в 90-х обычай называть всех, кто имеет отношение к ИТ – программистами.  
Мне часто кажется, что такой подход крайне выгоден интеграторам. Оргмеры продавать значительно сложнее, нежели оборудование и софт. )))

МЕНТАЛИТЕТ И КОРПОРАТИВНАЯ КУЛЬТУРА

Американцу говорят:
«Гражданин, вы получите миллион долларов, если прыгнете с моста в реку».
Американец требует подписания контракта и предоплаты, после чего спокойно прыгает в воду.
Немцу говорят:
«Вы получите миллион долларов, если прыгнете с моста».
Немец не соглашается, говорит, что у него дела, семья, обязанности. Ему говорят:
«Но есть строгий приказ вашего руководителя прыгнуть с моста».
Немец немедленно прыгает.
Русскому говорят:
«Вы получите миллион долларов, если прыгнете с моста в реку».
Русский в ответ: «Чихал я на ваши миллионы» и идет по своим делам.
Ему говорят: «Ваш начальник приказал вам прыгнуть с моста».
Русский: «Чихал я на приказы» и идет дальше.
Ему говорят: «Вы знаете, вообще-то с этого моста прыгать запрещено».
Русский перелезает через перила и со словами: «А чихал я на ваши запреты» — прыгает.

Правила для слабаков. Хочешь выиграть – нарушай.
Сложнее всего изменить отношение людей к безопасности. Что говорить об ИБ, если на промышленных предприятиях постоянно происходят абсолютно дикие нарушение правил техники безопасности приводящие к гибели людей. Что говорить об ИБ, если на многих предприятиях требования пожарной безопасности выполняются только формально. Что говорить об ИБ, если ПДД нарушают все, кому не лень, ибо так удобнее.
ИБ неудобно, ИБ мешает работать, ИБ требует дополнительных усилий как со стороны руководства, так и со стороны сотрудников… А ведь так легко немножко нарушить правила.

Совершенно точно могу сказать, что внедрение организационных мер ИБ в Германии значительно проще и эффективнее нежели в РФ. И связано это исключительно с менталитетом работников.  Это приходит из их опыта повседневной жизни и легко проецируется на рабочие процессы. Кроме того, общая культура работы с информацией и информационными технологиями там выше, как и информированность населения об угрозах безопасности на государственном уровне.

БАЛАЛАЙКА, МЕДВЕДЬ И ВОДКА

Интересно? )))) (To be continued)

среда, 12 февраля 2014 г.

ФСТЭК АСУТП ИБ - праздник к нам приходит!


Собственно то, о чем так долго мечтала прогрессивная общественность - свершилось! ФСТЭК опубликовала проект нормативного правового акта "Требования к обеспечению защиты информации, обработка которой осуществляется автоматизированными системами управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" с которым можно ознакомиться по следующей ссылке http://fstec.ru/normotvorcheskaya/proekty/57-normotvorcheskaya/proekty/prikazy/799-proekt-normativnogo-pravovogo-akta-fstek-rossii и до 20 февраля прислать свои предложения и замечания.

Мои впечатления - бочка меда.

Документ на удивление не плох. Он полностью вписывается в канву последних нормативных наработок и в общем-то действительно может применяться. Отдельно хотелось бы упомянуть 3 момента. 

Во-первых, разработчики подошли к требованиям вдумчиво и аккуратно "Организационные и технические меры защиты информации должны быть согласованы с мерами по обеспечению функциональной (технологической) безопасности автоматизированной системы управления и управляемого (контролируемого) объекта или процесса и не должны оказывать отрицательного (мешающего) влияния на функциональную (технологическую) безопасность автоматизированной системы управления." Фактически поставив во главу угла все-таки безопасность технологического процесса, а не требования ИБ. Данное требование встречается в тексте дважды, видимо, чтобы не забывали.

Во-вторых, учтены известные особенности триады К-Ц-Д применительно к АСУТП. "Организационные и технические меры защиты информации должны быть направлены на обеспечение штатного режима функционирования автоматизированной системы управления и управляемого (контролируемого) объекта и (или) процесса путем обеспечения доступности информации (исключение неправомерного блокирования информации), целостности информации (исключение неправомерного уничтожения, модифицирования информации), а также, при необходимости, конфиденциальности информации (исключение неправомерного доступа, копирования, предоставления или распространения информации)." Академично и правильно.

В-третьих, в понятие компенсирующих мер защиты, включены технологические меры "В качестве компенсирующих мер, в первую очередь, рассматриваются меры по обеспечению функциональной (технологической) безопасности и меры по обеспечению физической безопасности автоматизированной системы управления, поддерживающие необходимый уровень защищенности автоматизированной системы управления.", что в практической плоскости значит следующее - возможность обоснованного исключения мер защиты, если безопасность реализована на уровне технологии производства или конкретных проектных решений. Это важно, так как многие технологические процессы, даже в случае сбоя или взлома АСУТП, не могут выйти за границы безопасного/экономически целесообразного рабочего диапазона в силу физических, технических или прочих ограничений. Безусловно, применение компенсирующих мер должно быть обосновано, но для современных производств, а также для производств с низкой степенью автоматизации техпроцесса - реальная возможность сохранить средства, усилия и время на защиту того, что защищать нет необходимости. 

Ложки дегтя.

Сразу оговорюсь, что часть из моих замечаний - это просто придирки к несущественным, а возможно и вообще правильным формулировкам. Ну а часть требует обсуждения и пока остается загадкой. 

Начну с важного. ФСТЭК, отчасти вторглась на поле Ростехназора, что в перспективе может привести к серьезным проблемам для оператора объекта в попытке усидеть на двух стульях. В приказе Ростехнадзора от 11.03.2013 N 96 "Об утверждении Федеральных норм и правил в области промышленной безопасности "Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств" (Зарегистрировано в Минюсте России 16.04.2013 N 28138) п.п. 2.5. буквально говорится следующее "Внесение изменений в технологическую схему, аппаратурное оформление, в системы контроля, связи, оповещения и ПАЗ осуществляется после внесения изменений в проектную и техническую документацию, согласованных с разработчиком проектной документации (документации) или с организацией, специализирующейся на проектировании аналогичных объектов, при наличии положительного заключения экспертизы промышленной безопасности разработанной документации, а в случаях, предусмотренных законодательством о градостроительной деятельности, положительного заключения экспертизы в соответствии с законодательством о градостроительной деятельности." Т.е. возможна ситуация при которой изменения, внесенные в рамках требований ФСТЭК, не пройдут экспертизу ПБ в Ростехнадзоре. Ну и не забываем, что дополнительные требования к техническим устройствам и экспертизе ПБ содержаться в N116-ФЗ "О промышленной безопасности опасных производственных объектов". 

Вообще, надо понимать, что проектирование и эксплуатация опасных промышленных объектов, и так область весьма зарегулированная, поэтому было неплохо, чтобы требования ФСТЭК были гармонизированы с существующими требованиями других ведомств.
И в конце этого беглого обзора, хочу привести несколько контраргументов к публикации моего уважаемого коллеги и однофамильца Сергея Борисова http://sborisov.blogspot.ru/2014/02/blog-post.html?spref=tw
 
Сергей, считает неправильным выделение в проекте приказа проектировщика, как отдельного лица и наделением его полномочиями по разработке проекта защиты АСУТП. На самом деле, возвращаясь к "Общим правилам взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств" мы видим, что ""Внесение изменений в технологическую схему, аппаратурное оформление, в системы контроля, связи, оповещения и ПАЗ осуществляется после внесения изменений в проектную и техническую документацию, согласованных с разработчиком проектной документации (документации) или с организацией, специализирующейся на проектировании аналогичных объектов" Т.е. нельзя внести изменения в проект АСУТП без согласования с проектировщиком или специализирующейся организаций! Логично? На мой взгляд вполне. Это вопрос ответственности за безопасность.

Еще одно подтверждение вдумчивого подхода ФСТЭК. Вопрос по поводу лицензирования проектировщика. Я понимаю, что интеграторам выгодно, чтобы входной билет на этот рынок был все тот же - лицензии ФСТЭК/ФСБ, но проектирование опасных промышленных объектов также относиться к лицензируемым видам деятельности. И вот тут неувязка - лицензий на проектирование ОПО у большинства интеграторов нет. Какой выход? На мой взгляд он очень прост - субподряд. Если проектировщик не может выполнить проект по ИБ АСУТП своими силами - он обратиться к интегратору с достаточным опытом и компетенциями. 

Ответственность за безопасность системы полностью остается на проектировщике! Это важно. 

И последнее, уже, наверное, отчасти личное... Сергей пишет "Налицо желание проектных организаций АСУ захватить в свои руки все работы – в том числе внедрение СЗИ, разработку организационных мер по ИБ (а там ИСО 27000) и анализ уязвимостей (пентесты)." Вот это, на мой взгляд, совсем не так. Тот, кто занимался проектной деятельностью, понимает сколько стоит проект производства, и какую долю там занимает АСУ ТП, я уже не говорю о поставках оборудования под проект. Поэтому большим игрокам возня с ИБ невыгодна в принципе (за исключением случаев сдачи проектов "под ключ), а маленьким сил не хватит, да и смысла нет - обычно они эффективно работают в своей нише. Я уж не говорю о том, что проекты по ISO/IEC 27001 и не всем , даже крупным, интеграторам в РФ под силу.

За сим спешу откланяться.

 PS Отдельно, прошу прощения у Сергея Борисова, если какие-то из моих высказываний в адрес его статьи показались некорректными.